Los clientes de la banca corporativa italiana son el objetivo de una campaña de fraude financiero en curso que ha estado aprovechando un nuevo conjunto de herramientas de inyección web llamado drIban desde al menos 2019.
«El objetivo principal de las operaciones de fraude de drIBAN es infectar estaciones de trabajo de Windows dentro de entornos corporativos tratando de alterar las transferencias bancarias legítimas realizadas por las víctimas cambiando el beneficiario y transfiriendo dinero a una cuenta bancaria ilegítima», los investigadores de Cleafy Federico Valentini y Alessandro Strino dicho.
Las cuentas bancarias, según la firma italiana de ciberseguridad, están controladas por los propios actores de amenazas o sus afiliados, quienes luego tienen la tarea de lavar los fondos robados.
El uso de inyecciones web es una táctica comprobada que hace posible que el malware inyecte scripts personalizados en el lado del cliente mediante un ataque de hombre en el navegador (MitB) e intercepte el tráfico hacia y desde el servidor.
Las transacciones fraudulentas a menudo se realizan mediante una técnica llamada Sistema de Transferencia Automatizado (ATS) que es capaz de eludir sistemas antifraude establecido por los bancos y iniciar transferencias bancarias no autorizadas desde el propio ordenador de la víctima.
A lo largo de los años, los operadores detrás de drIBAN se han vuelto más hábiles para evitar la detección y desarrollar estrategias efectivas de ingeniería social, además de establecer un punto de apoyo durante largos períodos en las redes bancarias corporativas.
Cleafy dijo que 2021 fue el año en que la clásica operación de «troyano bancario» se convirtió en una amenaza persistente avanzada. Además, hay indicios de que el grupo de actividades se superpone con un campaña 2018 montado por un actor rastreado por Proofpoint como TA554 dirigido a usuarios en Canadá, Italia y el Reino Unido
La cadena de ataque comienza con un correo electrónico certificado (o correo electrónico de PEC) en un intento de adormecer a las víctimas con una falsa sensación de seguridad. Estos correos electrónicos de phishing vienen con un archivo ejecutable que actúa como descargador de un malware llamado Cargar (también conocido como cargador Starslord).
Un cargador de PowerShell, sLoad es una herramienta de reconocimiento que recopila y extrae información del host comprometido, con el propósito de evaluar el objetivo y dejar caer una carga útil más significativa como ramita si el objetivo se considera rentable.
«Esta ‘fase de enriquecimiento’ podría continuar durante días o semanas, según la cantidad de máquinas infectadas», señaló Cleafy. «Se extraerán datos adicionales para hacer que la botnet resultante sea cada vez más sólida y consistente».
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
sLoad también aprovecha living-off-the-land (LoteL) técnicas abusando de herramientas legítimas de Windows como Potencia Shell y BITSAdmin como parte de sus mecanismos de evasión.
Otra característica del malware es su capacidad para verificar una lista predefinida de instituciones bancarias corporativas para determinar si la estación de trabajo pirateada es uno de los objetivos y, de ser así, continuar con la infección.
«Todos los bots que pasen con éxito esos pasos serán seleccionados por los operadores de botnets y considerados como ‘nuevos candidatos’ para operaciones de fraude bancario y avanzarán a la siguiente etapa, donde se instalará Ramnit, uno de los troyanos bancarios más avanzados», dijo el dijeron los investigadores.